Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Вирус в бинарнике nginx
- To: nginx-ru@xxxxxxxxx
- Subject: Вирус в бинарнике nginx
- From: "wastemaster" <nginx-forum@xxxxxxxx>
- Date: Tue, 03 Dec 2013 09:56:20 -0500
- Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=helium.jlkhosting.com; s=x; h=Date:Sender:From:Message-ID:Content-Transfer-Encoding:Content-Type:Subject:To; bh=kz795i2XSfYq1GA0LoPvSiKIRPOo4aQPNh9X9iyulzU=; b=FQpWsPpHVEoPg9hzJpn13Ye1fqWPLGpTkjpcRVQabGuyO0YXpd2jrTEXBe0yrSm6HxcaHK/SwCZHsgDBBy4MtZgKyEfZbgvG6ait6XFVMvnelM1HveX7gP2S4e01aPQFlPrbe50jGxr+zRdkigcYJou5DEMAphsVHrf9XkwTddw=;
os: Linux version 2.6.32-042stab021.1 (root@rh6-build-x64) (gcc version
4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) #1 SMP Thu Jul 14 18:02:30 MSD
2011
nginx: 1.4.4-1~squeeze
комплектность:
root@server:/var/cache/apt/archives# nginx -V
nginx version: nginx/1.4.4
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid
--lock-path=/var/run/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx
--with-http_ssl_module --with-http_realip_module --with-http_addition_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module --with-mail
--with-mail_ssl_module --with-file-aio --with-cc-opt='-g -O2
-Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,--as-needed --with-ipv6
nginx генерит перенаправления выборочно некоторых посетителей.
в логах эти редиректы не отражаются.
в целом ситуация очень похожа на описанную товарищами из eset
http://habrahabr.ru/company/eset/blog/179115/
конечно есть еще вариант, что дело в наших скриптах, но мы их все проверили
а потом и вовсе исключили этот вариант, когда увидели редирект с урла со
статикой - те вместо того, чтобы отдать статический контент - nginx генерит
302 редирект.
с той разницей, что тулзами приведенными в той статье проблема не
детектируется.
все что смогли придумать - это снести всю операционнку. И вот пока ждем
замену по хостингу хочется выяснить все-таки как это безобразие к нам
проникло.
Сейчас активность вируса можно только фильтруюя трафик на интерфейсе через
tcpdump на предмет 302 редиректов.
Фильтруем в реальном времени - как только видим редирект - останавливаем
nginx и переустанавливаем - запускаем заного.
После этого проблема с редиректом пропадает на несколько часов, потом опять
появляются редиректы уже на другой домен.
nginx ставим отсюда
deb http://nginx.org/packages/debian/ squeeze nginx
deb-src http://nginx.org/packages/debian/ squeeze nginx
apt-get install --reinstall nginx
Проверяли в /var/cache/apt/archives лежит оригинальный пакет nginx
чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с
оригинальной.
Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти
(если конечно такое возможно)
наружу у нас торчит mysql, postgres, nginx и все(
Вариант с подбором пароля - маловерятный - пароли серьезные, в логах
посторонней активности не замечено.
Буду рад любым советам - может кто сталкивался. Как можно отсечь этой штуке
пути отступления?
Posted at Nginx Forum:
http://forum.nginx.org/read.php?21,245164,245164#msg-245164
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|
